51Testing软件测试论坛

标题: 有人做过有关软件安全方面的测试吗？ [打印本页]

作者: gracedl 时间: 2007-6-26 16:04
标题: 有人做过有关软件安全方面的测试吗？
打算研究一下，但又不知从那方面开始

作者: webtiger 时间: 2007-6-28 13:46
安全测试可以参考gb18336

作者: james.zhong 时间: 2007-7-6 11:43
晕~~楼上的~~你这也算叫回答吗？
安全测试是高级别的测试。简单说是漏洞测试。对于不同的安全测试有不同的测试标准。
首先你要了解测试环境的整体架构，并进行分析，在那个方面容易出现安全的漏洞。
这个要求你要对开发语言和整体架构深入的了解！

小弟也是刚出道，如果有那里说得不对的地方！望高手指点！

作者: 燕子东南飞 时间: 2008-7-18 11:34
我们公司前端时间让我做，很难的！不好做！
涉及到的内容太多了
1.网络端口、漏洞扫描
2.数据完整性测试
3.权限测试
4.SQL注入测试！

总之很难的！

作者: puchonghui 时间: 2008-7-18 20:58
安全性测试是个很大的topic
主要的难度在于如何进行系统威胁模型分析

安全测试是一个防御性手段
防御永远是处于被动的
打个比方说：黑客对于网上银行的攻击，他可以花一两年时间找一个漏洞，只要足够达到他的目的即可
但是测试人员不可能有足够的时间进行全面的安全性测试
所以必须要构建系统的威胁模型并进行分析
对于每一项可能存在的威胁进行确认+记录+评估
主要是评估潜在的危害，可反复性，可利用性，受影响的范围等等

至于测试的角度那就多了
最常见的就是缓冲区溢出问题
web方面sql注入也是个大问题
另外还有一些潜在的非安全数据等等（比如簇引起的数据泄密问题）
具体的可以去网上搜索下

另外顺便提一点
安全性问题并不是个纯粹的技术问题
牵涉到很多心理学甚至是地域文化方面的问题
比如一些假页面的登录
其实从技术上看很弱智
但是欺骗性非常强

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)